Tutorial del Módulo RangeForce
en la plataforma RangeForce, hay una cantidad cada vez mayor de módulos de aprendizaje práctico y desafíos que te enseñan cómo prepararte, detectar y responder a las últimas amenazas cibernéticas y vulnerabilidades del sistema. La mejor parte es que es un entorno SaaS basado en la nube, bajo demanda, lo que significa que no se requiere configuración compleja ni hardware. Accedes a todo a través de tu navegador web, por lo cual, todo lo que necesitas es una buena conexión a Internet.La inyección SQL no se va a ninguna parte
las inyecciones SQL pueden parecer algo del pasado, pero en realidad sigue siendo uno de los métodos de ataque dirigidos más utilizados para aplicaciones web en todo el mundo. Según lo indicado en el informe de Akamai Media Under Assault, un asombroso 69.7% de todos los ataques a aplicaciones web entre enero de 2018 y junio de 2019 fueron inyecciones de SQL. Eso es MUCHÍSIMO teniendo en cuenta que supuestamente fue descubierto por primera vez por un hombre llamado Jeff "Rain Forrest Puppy" Forristal en 1998. Sí ... '98.Inyección de Comando Ciego
Ejecutar un ataque de Inyección de Comando es básicamente ejecutar un comando del sistema en un servidor determinado a través de una aplicación web o alguna otra aplicación explotable que se ejecute en dicho servidor. Ejecutar un ataque de inyección de comando ciego significa que no puedes ver la salida del comando que has ejecutado en el servidor.Inyección NoSQL
La vulnerabilidad de inyección NoSQL puede ser utilizada por un agente malintencionado para acceder y modificar datos confidenciales, incluidos nombres de usuario, direcciones de correo electrónico, hashes de contraseñas y tokens de inicio de sesión. Si esto se encadena con otras vulnerabilidades, esto puede conducir a una toma de control completa del sitio.Referencias Directas Inseguras a Objetos
Las Referencias Directas Inseguras a Objetos (también conocidas como IDOR) ocurren cuando es posible obtener acceso directo a diferentes objetos de datos dentro de una aplicación web que están expuestos a los usuarios. Como resultado de esta vulnerabilidad, es posible que los atacantes potenciales omitan la autorización o accedan a datos como archivos o registros de bases de datos en el sistema directamente. Esto se puede hacer modificando el valor de un parámetro utilizado para apuntar directamente a un objeto. Esto se debe al hecho de que la aplicación web toma los datos de entrada proporcionados por el usuario y los usa para recuperar un objeto sin realizar verificaciones de autorización.
Seguridad de cookies
Las cookies de hoy en día son una parte vital de la navegación en Internet. Son una forma de realizar un seguimiento de tus movimientos dentro de un sitio y almacenar datos directamente en tu navegador web. Mantenerlas lo más seguras posible, evita que personas malintencionadas secuestran tus sesiones web y roban nuestra identidad.
Básicos de Inyección de Comandos
Ejecutar un ataque de Inyección de Comandos significa básicamente ejecutar un comando del sistema en un servidor determinado a través de una aplicación web. La ejecución del comando es, por supuesto, la parte fácil. La parte difícil es encontrar y explotar la grieta vulnerable en el sistema que podría ser cualquier cosa, desde un campo de un formulario inseguro en una página web hasta un puerto abierto en la interfaz de red.
../Path-Traversal
Path Traversal es un nombre elegante que significa básicamente acceder a diferentes directorios en la URL. Puedo escucharte decir “¿Cómo es eso?”. Esta es una forma muy básica de ataque, pero veamos de qué va paso a paso.